AlienVault OTX インテグレーションガイド

注意

新しいAlienVault OTXインテグレーションは、これ以上設定できません。既存のインテグレーションは引き続き動作します。

以下の手順は、AlienVault OTXを設定して脅威インジケーターをSecureworks® Taegis™ XDRに取り込み、Bring Your Own Threat Intel 検知機を通じて検出を生成する方法です。このインテグレーションがセットアップされると、XDRはユーザーが購読しているAlienVault OTXのパルスに基づいてインジケーターをインポートし、新しいインジケーターを毎時ポーリングします。

AlienVault OTX の要件

XDRと連携するには、少なくとも1つのパルスを購読しているAlienVault OTXアカウントが必要です。

注意

テナントごとにアクティブなインジケーターの上限は15,000件です。インジケーターが上限に達した場合、最も古いインジケーターから削除され、上限を超えないように維持されます。

注意

このインテグレーションは、ユーザーが購読しているAlienVault OTXのパルスに基づいてインジケーターをインポートします。初回インポート後、インテグレーションは毎時新しいインジケーターをポーリングします。

インテグレーションから提供されるデータ

脅威インジケーターリストには、以下のデータタイプが含まれます：

• IPアドレス
• ドメイン
• URL
• ファイルハッシュ（SHA1、SHA256、MD5）

OTX APIキーの確認方法

AlienVault OTX APIインテグレーションページ（ログインが必要）でOTXキーを確認してください。

XDR でのインテグレーション追加

1. Taegis Menuからインテグレーション → クラウドAPIを選択します。

2. ページ上部のインテグレーションの追加を選択します。

   

   インテグレーションの追加

3. 最適化されたタブからAlienVault OTXを選択します。

   

   新しいAlienVault OTXインテグレーションの作成

4. 以下のフィールドを入力します：

   • インテグレーション名 — XDRでこのインテグレーションに使用する名前
   • 重大度 — アラートに使用するデフォルトの重大度
   • AlienVault OTX APIキー — 最初の手順で取得

5. 完了を選択します。クラウドAPIインテグレーションページに、正常に追加されたAlienVault OTXインテグレーションが表示されます。

上記の手順が完了すると、AlienVault OTXインテグレーションの詳細はクラウドAPIで確認できます。Taegis Menuからインテグレーション → クラウドAPIを選択してください。

クエリ言語検索例

過去24時間のBring Your Own Threat Intel 検出を検索するには：

FROM detection metadata.creator.detector.detector_id='app:detect:byoti' and EARLIEST=-24h

関連トピック

• APIインテグレーションのステータスと正常性の表示
• インテグレーションの削除
• Bring Your Own Threat Intel 検知機